Blocca tutti i tipi di query dall'ip [chiuso]

-2

Voglio controllare il mio sistema di rilevamento delle intrusioni sulla rete (intrusione fisica come gadget o dispositivi non autorizzati in wifi / ethernet). Fino ad ora tutto è ok, ma mi stavo chiedendo se blocco tutte le query sul mio server con iptables il mio server sarà ancora in grado di rilevare l'intrusione. C'è un modo per testarlo o è semplicemente ridicolo?

Chiarimento:

Uso un server che esegue la scansione dell'intera rete (utilizzando ping e ascolto di pacchetti che utilizzano tcpdump) alla ricerca di qualsiasi nuovo dispositivo che si connette alla rete e genera un report. Quello che sto cercando di testare è se posso configurare un dispositivo per ignorare i probe del server, può ancora essere rilevato?

Ampia spiegazione:

In realtà, io passivo e attivo eseguiamo la scansione della rete. Passivo, ascolto di pacchetti bizzarri da dispositivi non autorizzati e indirizzo casuale ping attivo per trovare qualcuno che potrebbe essere solo in ascolto. Quindi, è abbastanza sicuro, giusto?

    
posta Braiam 06.07.2013 - 01:57
fonte

2 risposte

0

Se lo sto leggendo correttamente (hai un server che sniffa il traffico su una rete e vorresti testare l'installazione inserendo il server nero su un dispositivo client "canaglia").

Il server sniffing dovrebbe essere in grado di rilevare traffico broadcast come DHCPREQUEST e ARP dal client anche se il client non risponderà direttamente al server sniffing in ogni caso.

Le tue sonde attive possono essere bloccate in modo attivo da un utente e un dispositivo client deboli e opportunamente esperti. Se il dispositivo esegue QUALSIASI COSA sulla rete o su Internet mentre è connesso, l'ascolto passivo dovrebbe trovare almeno le richieste ARP dal dispositivo rogue. Sarà MOLTO difficile rilevare un dispositivo non autorizzato che sta ascoltando JUST e non invierà mai traffico sul filo.

    
risposta data 06.07.2013 - 08:29
fonte
0

Una volta inserito nella lista nera un dato IP, hai interrotto l'intrusione: non c'è nulla da rilevare perché la connessione viene rifiutata.

È possibile registrare i pacchetti da un determinato server (anche quelli che vengono rifiutati); riceverai un messaggio inviato a syslog che puoi analizzare usando lo strumento o la tua scelta e prendere qualsiasi azione tu scelga.

Qualcosa del genere:

# Log TCP SYN packets from SOURCE_IP sent to DEST_PORT
iptables -I INPUT -s ${SOURCE_IP} -p tcp --dport ${DEST_PORT} --syn -j LOG
    
risposta data 06.07.2013 - 03:39
fonte

Leggi altre domande sui tag